SELinux Arabic Guide 


إهداء: 


في هذا الكتاب إهداءين/ 
إهداء خاص لإخواني: د/علي الشمر ي(ر@,!8), د/ بشار حامد(باحث عن المعرفة), أحمد حسن(إ)ءة01.8) , محمود(لإ14طN04)‏ , محمد 
العتيبي 8431 , إسلام فكري , إسلام اليماني(†ومط6 عط11),رامي علام , و لكل من يحبونني و أحبهم في الله. 
إهداء عام: لجميع المسلمين و من سينتفع بهذا الكتاب في ما يرضي الله عز و جل. 


رخصة الكتاب: 


هذا الكتاب يخضع لرخصة وقف 
الكاتب: صبري صح (KING SABRI)‏ 
الموقع: مجتمع الحماية العربي 


Sabri @Security4Arabs.net :lwlا للمر‎ 


المقدمة- 


أبدء كتابي باسم الله الرحمن الرحيم, هذا الكتاب الأول على المستوى العربي في ما يتعلق بنظام ال ×1 .S٤‏ قررت كتابته لإزالة التخوف من 
الدخول فيه و تعلم هذا النظام القوي و الذي ينير لنا طريق من طرق الحماية الحديثة نة و أيضا لتبيين قوة نظام GNU Linux‏ عن سائر الأنظمة و للتقليل 
کک الأمنية 


BT TT TT 


كما أحب أن أنوه أن هذا المجهود ليس عبارة عن ترجمة كتاب. 


المصادر 5 
تم فهم واقتباس معلومات هذا الكتاب من مصادر متعددة 
RH033 , RH133 , RH253, RHS429 , fedoraproject.org „, engardelinux.org , google.com‏ 
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الفهرس 


الباب الأول: مفقدمة عj SELinux‏ 


SELinux je öذبن‎ 

نظام التصار يح التقليدي 5۸٥‏ 
نظام _SELinux - MAC JI‏ 
ما یستطیع نظام ×ںہ1ا S8‏ عمله 


ما لا یستطیع نظام ×uہ1ا S8‏ عمله 


SELinux yii 
Role s User Identity & ژر‎ 
Domain / Type شر ح أ‎ 


Categories s Sensitivities Î ژر ج‎ 

طريقة كتابة جمل |glnÛة Security Context‏ 

ما هي السياسة/المنهاجية في نظام (SELinux Policy)‏ 
السياسة انئموجهة (Targeted Policy)‏ 

(Policy Boolean) السياسات المنطقية‎ 


عر ض | Security Context‏ 
الأرشفة و ضغط الملفات 
نزت ي شامل 


الباب التانئ: استخدام آ SELinux‏ 


SELinux آI وضع‎ 
SELinux التحكم بأ‎ 
(File Context) ٽفlnl| سياق‎ 


(Relabel Files) ٽتاlفلٹمٹلا إعادة سياق‎ 
(Relabel a filesystem) ٽlفlمل| إعادة سياق نظام‎ 


SELinux Û go mount Jae 
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الباب الثالثء السباسة ١‏ ة(خا 
الخدمات المحمية بdJ Targeted Policy‏ 
التحكم في حماية الخدمات 


خدمة الأباتشي - عطعومA‏ 


إعدادات منطقية خاصة للأباتشي 

خدمة أسماء النطاقات 5١S‏ 

جمل الحماية و الجمل المنطقية لل 5١S‏ 
خدمات أخرى 

جمل الحماية لخدمات أخرى 


کک 


بدها 


الباب الرابع: التتبع و حJ‏ lئJSln Troubleshooting‏ 


تحدبد المشكلة 


التعامل مع السجإںٽت SELinux Auditing‏ 


A۸۷٣ التعامل مع‎ 
Troubleshooting Jnl Jح‎ 


الباب الخامس٠‏ أدوات سباسات الحمابة (برامج إضافبة 


الخاتمة 
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الباب الأول: مقدم عjù SELinux‏ 
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SELinux je نبذة‎ 

مع زيادة الحاجة إلى البرامج و الخدمات في الأنظمة ظهرت زيادة ثغرات الأنظمة و التي تتسبب في تصعيد الصلاحيات (escalating privileges)‏ 
ا عادي إلى المستخدم الجذر أو مستخدم ذو صلاحيات أعلى. تكون دائما بسبب ثغرة في خدمة أو برنامج أو طريقة تعامل النظام مع شيء 
معين و تعر ف ب(٤0ها )NRemote ro0t/ L021‏ و یقوم المخترق باستغلال الثغرة عن طریق W٥۲0۷۵۲۴1ء:۴۴ں8‏ أو حقن أوامر و غيرها من الطرق 
و جميعنا يعرف أنه كانت هناك ثغرات خطیر ة apache , rsync, cur, BIND, NetworkManger ,Netcat —Û‏ و غیرھا الکثیر. 
و بناء على ما سبق ذكره,قامت حكومة الولايات المتحدة بأسناد مهمة تطويرية إلى وكالة الأمن القومي )NNationa1 Security Agency — NSA)‏ انظام 
يحتوي قواعد للتعامل مع الملفات و العمليات و طريقة الاتصال في ما بينهم و هذا بناء على أبحاث أثبتت أن أخطر التغرات تكمن في أن المستخدم 
العادي يستطيع تخطي حماية النظام الداخلية و كأخطر مثال ما ذكرناه آنفا , أيضا إعطاء التصريح 777 لملفات تنفيذية مهمة و هكذا. 
في البداية قامة وكالة الأمن القومية بتطوير نظام إسمه “طمة” على نظام التشغيل "وه۴1” و كان قاعدته مبنية على عزل البرامج/العمليات و الملفات 
التنفيذية و المستخدمين عن الملفات و عدم السماح للقسم الأول بالتعامل مع القسم الثاني بشکل ارتجالي و تم تسمية فكرة العزل 4 Type Enforcement‏ 
.-TE‏ 
وجدت الوكالة أن هذه الطريقة فعالة و قوية فقررت دمج هذا النظام في داخل نظام التشغيل اللذي سيعمل فيه و قد اختاروا نظام تشغيل مفتو ح المصدر 
فقاموا بإضافة الرقع إلى ال 1عہإKe‏ ×ںہ]1 (بعد اذن لینوس تروفالدز) و إسناد حزم Security Modules - LSM(‏ inuxا)‏ و حینھا تم تغیر اسم 
التقنية التي يعمل بها pî s Mandatory Access Contro1 -MAC Jl‏ تãnı‏ مشرو ع ب Security Enhancement Linux -SELinux‏ و هو 
الآن متوفر في أغلب/جميع التوزيعات بشكل افتراضي و يعمل على نظام ملفات 4)×ع,3×ع,2)×ع. 


هناك مقولة مشهورة في عالم اللينوكس تقول: 

Every Thing is a File‏ - کل شيء یُعتبر ملف 

حيث الوصول للملف يخضع إلى تصاريح تقليدية يتحكم بها و المالك سواء كان إمول أو 0upإG.‏ 
أما بالنسبة ل جں م881 فالمقولة تصبح 


Every Thing is an Object‏ - کل شيء یُعتبر موضوع 


حيث الوصول للموضوع يخضع إلى مجموعة عناصر تخضع تلك العناصر إلى قوانين يتم تطويرها باستمرار حيث هذه العناصر تسمى (ر)|٣»uءمS‏ 
(Context‏ و مجموعة القواعد الموجودة تسمی رم‌ااه۲ و هي متجددة أيضا باستمرار. 
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بعد ظھور ×ںہ S81‏ تم تصنيف حماية الملفات إلى تصنيفين رئيسين: 


Discretionary Access Control = DAC .1 


و هي تقنية تصاريح الملفات التقليدية للينوكس. في هذا النظام جميع العمليات(ءعوءمعء0إم) تعمل تحت Group gy User‏ مع نظام D4٣‏ تستطیع 
تلك العمليات الوصول إلى جميع الملفات و المجلدات التي يستطيع مستخدمها أو مجموعتها الوصول لها و عند حدوث أي خطأ/ثغرة في هذه العمليات 
يكن أن تمن جميم العانات التي تصل لها هذه العلية ى هناك عفلبات لها أحقية الوضول إلى أماكن: خظيرة في التظاء: 


هناك فقط نوعين من أنواع المستخدمين: 
Administrators/Privilege-users (1‏ 
Non-Administrator/Non-privilege-users (2‏ 


إن الخدمات و البرامج (العمليات بشكل عام) قد تتصاعد من مستخدم عادي إلى مستخدم مدير عند حاجتها لذلك و قد تصل إلى مستوى صلاحيات الجذر 
نفسه لتقوم بعملها على أكمل وجه. 


أيضا من عيوب هذا النظام احتمالية كبيرة في الخطأ عند إسناد تصاريح الملفات عند استخدام الأمر المفا ل0" ٣ع‏ أو استخدام إذعاعء,لاuامء‏ بشكل 
خاطئ إذن فالملفات فقط هي التي تأخذ تصاريح. 


Non-DAC gi Mandatory Access Control = MAC .2 


في هذا النظام يتم إسناد تصاريح ل كيف ستتعامل کل العملیات(٤٤ ٣٥‏ ۴)۔کل واحدة على حدی-۔ مع أجزاء النظام الأخرى مذل الملفات و الأجزاء 
المادية و المنافذ و العمليات الأخر ی. 


هذا المبداً يتم تنفيذه عبر سياسات الحماية (sععءذاهم)‏ حيث توضع قوانين لكل الخدمات/العمليات و قوانين لكل الملفات تحت قواعد تحدد سماحية 
الوصول إليها. 


مثال على ذلك 
المستخدمين الذين عرضوا بياناتهم للوصول في مجلدهم الرئيس باستخدام الأمر ١0٣۸ع‏ فإنه سيتم حماية تلك البيانات من العمليات التي قد تصل إليها 


لأنهم يخضعون ل راهم خاصة بملفات/مجلدات المستخدمين. فقط ستستطيع العمليات الوصول لهذه الملفات عند تغير ال راهم الموضوعة لمجلد 
ا 
م 


هام!! 
- هناك تسميات خاصة بال مزع8 بالنسبة للعمليات و الملفات, و هي كالتالي: 
-- العمليات(ءوءعء١إم)/الخدمات(ءعء۷1إع)/المستخدمین(إ٥ءں)‏ تسم: Subjec†‏ 


0bjec† تسمى:‎ )م0r†(ذفانملا/)ء0keء†(سباقملا/)لev1ءe(ة‎ زهجألا/)f]]مء(تافلملا‎ -- 


سيتم استخدام هذه المصطلحات من الأن و حتى نهاية الكتاب فأرجوا ألا تنساها هي و كل ما المصطلحات التي سيتم ذكرها و تعريفها. 


رسم توضيحي ببین كيف يفصل ال ×ںم11 S8‏ ال Subject‏ عن ال ctعزط0‏ فائدتە 
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Without SELinux 


The Attacker 


Web 
Server 


Internal 


Network User Data 


في 8 ال المخترق ار أن یستغل ثغرة ة للوصول إلى و استغل ثغرة في أتصعيد صلاحیاته(11هام × (Local TOOt‏ فانه 


With SELinux The Attacker 


Internal 
Network 


User Data 


MACE‏ لو استطاع المخترق أن يستغل تغرة للوصول إلى النظام فإنه لن يستطيع الوصول إلا لما تستطيع خدمة ال لما الوصول إليه فقط 
و مایندرج ت تحت سياسة الوصول لها فقط و سيضل محبوسا في هذا النطاق. 
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SELinux aذعف‎ jİ ما يستطيع‎ 


مھمة ×ںuم SE!‏ الکبری هي هي فرض تقنية ال gy MAC policy‏ التي تقد البرامج و العمليات و الخدمات في أقل قدر من الصلاحيات المطلوبة 
لإتمام عملها بنحاج. 


يوفر النظام الحماية من توسع استغلال الثغرات عن طريفة النقاطة العامة التالية: 

- منع تصعيد الصلاحيات 

- منع القراءة و الكتابة والتعديل الغير مصرح له على البيانات من قبل البرامج/العمليات/الخدمات 
- تسجيل أحداث الدخول و التجاوزات 

- سهل التعديل و إضافة القوانين 

Type Enforcement آ‎ رفوı‎ - 


role- based access control |آ‎ رفوgy‎ - 


ما لا يستطيع SELinux alعف jİ‏ 
ال جسم1 S8‏ حاله كحال أي نظام حماية لا يستطيع فعل كل شئ في كل مكان فهوء جزء/طريقة لزيادة الأحماية و ليس للحماية المطلقة. 
- لا يستطيع حماية كل أجزاء النظام 
- لا يستطيع الإحاطة بكل العملياتو الخدمات (لهذا يتم تحديث ال راهم باستمرار) 
- لا يغني عن الجدار الناري 
- لا يغني عن حماية الخدمات الحماية المطلقة 
- لا يغني عن أهمية تحديث الحزم و النظام و الخللات الأمنية 
- وجوده لا يعني الإهمال في كتابة الكود و عندم الانتباه لنقاط الضعف في البرامج التي نكتبها 


ملاحظة: يتم تطبيق نظام ال M1۸٥‏ بعد تطبيق ال 5۸٥‏ أي أنه إذا قام نظام 5۸٤٥‏ بمنع الوصول فإن النظام لا يقوم بالنظر إلى ال 0۸٥‏ لأن 
المطلوب-وهو الحظر/المنع- قد تم أم إذا كان التصريح يسمح بالوصول فإن النظام يقوم بالنظر إلى سياسة ال 1۸0 و يطبقها و هذا لا يقلل من قوة ال 
4° بل يزيده قوة و تميز فبدلا من أن يكون هناك حاجز واحد أصبح هناك حاجزين. 
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SELinux ıi) 

في بیئة ںہ¡ S٤‏ تعمل و٥٥٥۴‏ أو (eزط0)‏ في 01۸( حیث سجن /يقید ال ومووععمم المعروفة لديه و يُعرف هذا القيد أو السجن بال( 
×0طال«ه5) و الذي يتم فيه ضبط و تعريف طريقة وصول العمليات إلى الملفات أو (sاءمزاں6).‏ تعمل تلك العمليات تحت سلطة المستخدم الخاص بها 
و تسمى هذه السلطة(ع01٥8).‏ تحدد ال R01٥‏ أي ال ووع٥هإ۴‏ يجب أن تكون/تندر ج تحت أي منج 0(0. 

بنیة ×ام1 S8‏ تعمل بناء على شیئین رئیسین: 

Security Context — ةglnحÛ|‎ Jمج‎ .1 

و تتکون من: 

User Identity = 

Role - 

Domain / Type = 

Sensitivity = 


Category = 
Security Policy — ةulnحlا سياسة‎ .2 


كل 1زط0 و کل Subject‏ يمتلك .Security Context‏ و كل Security Context‏ يجب أن تحتوي على تثلاثة معاملات أساسية 

, User Identity (1 

Role (2 

Domain/Type (3 

و تظهر على شكل أعمدة يفصل كل عمود منهم علامة " : ” هكذا 

user_identity:role:type:sensitivity: category 

مثال: 
user_u:object_r:httpd_sys_content_t‏ 

بقية معاملات جمل الحماية ليست شرطا في وضع ال رااه۴ مء ع14۲ سيتم توضيح ذلك لاحقا., 

أما عن ال رعزام۴ ,, فهي عبارة عن مجموعة من القواعدة ومإںR‏ توجه محرك ال ×ام1 S٤1‏ في تطبيقه للنظام ككل و سنشرح ذلك لاحقا إن شاء الله. 
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Role ڃ‎ User Identity شر‎ 


إن ال Use 1d eniy‏ في ال ×uامز[8؟‏ يكون مقيض ب 8٠1٥‏ واحدة أو أكثر, حيث ال مإه۸ تكون بمثابة صلاحيات هذا المعرّف و الذي لا 
يستطيع تجاوزها. كما نستطيع نقله من 81٥‏ إلى أخرى بكل سهولة عن طريق الأمر ٣٠١1٠‏ W«عم‏ و هذا الأمر يشبه في عمله الأمر لاء حيث ينقله 


إن من أهم ما تعمله ال ٥[ه۸‏ هو تحديد أي مستخدم ينتمي إلى أي وومعهإ۴ حيث في ال eإRo‏ تكمن صلاحيات |— Processes/users‏ 
يتم تخزين ال ءإاهR‏ و 015 في قاعدة بيانات و يكون شكلها عند العرض كالتالي: 

ينتهي ال U1‏ ب _ں 

مثال: 

system_u 

تنتهي ال ماهR‏ ب _۲ 

مثال: 

object r 

لم ننتهي من ه۸01 فهناك ما يجب معرفته في الفصول القادمة بإذن اله 


Domain / Type شرح أ‎ 

ذكرنا مرارا أن ال وأءمزطاںS‏ يتم وضعها في ×0طالمهS‏ يُسمى ال «زه_ه 5 و الأن ظهر أمامنا مصطلح جديد و هو مرآ و يعتبر مقرونا به. 
فما هو الفرق بين ال «ذد ه0( و ما هو ال مم رآ و ما هو ال ×0ط Sd‏ باختصار؟ 

سأضع تعريفات بالترتيب إفهمها و احفظها جيدا لأن هذه المفاهيم ستسمر معنا إلى النهاية 


ال 0٤‏ همه : هو السجن الذي يوضع فيه الشئ بغرض عزله أو تقيّده أو حمايته. 
ال Domain‏ : هو ال ×oطالمهS‏ المخصص لل واءمزطں؟ آيا كان نوعها 
ال مpمرآ‏ : هو ال ×0طالمهS‏ المخصص لل وء زط0 أيا كان نوعها 


إن ال رعزام۴ في ال جuم1 S۳1‏ تحتوي على عدة وإموں و وم][ه] لكنها تحتوي على مئات أو ألاف من ال ٥مرا.‏ 
هذه ال اه۴ تحدد أي من ال منهمه له أحقية الوصول إلى أي عمر1 . 

عند كتابة ال «نهص مل أو ال مم فإنه يظهر بهذا الشكل: _) 

مثال: 

httpd t 
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Categories y Sensitivities — شر‎ 
EGE ASE RE E 


لان ا Sensitivity‏ و Category‏ تفيدنا غالبا عندما تعمل ال راه" في ال ×uم1 S۳‏ في وضع {عءذإ)ء و واه و سنوضحهم بشكل خفيف عند التطرق 
اوضع | SELinux‏ . 


هذا الکتاب یشرح عمل ال >ںہ1 S٤‏ مع السياسة رعذاه۴ dء7arget‏ فقط 


Security Context ûيامحلا طريقة كتابة/سياقة جمل‎ 
. Security Context dns Subject JÛ g Object JÛ jİ (SELinux ةأıi)lقlw‎ id 


جمل الحماية لل عع زط0 و اء زطان؟ تعتبر بمثابلة "لاصقة مطبوعة على جبين كل واحد منهما” تسمى"[عطھ,]” يتم تخزينها في م Extented Attribute Jı‏ 
ئه - أو المعامل الإضافي. يقوم ال وع))ه× بإضافة بياناته إلى خصائص الملفات كقيمة يتم قرائتها عند التعامل مع هذه الملفات و نظام ملفات لينوكس يدعم ذلك 
بشكل كامل الأن. 
للاستزادة عن ال و٣)ه×‏ إقراً وثائق الأمر )اج .. نفذ الأمر التالي: 

man 5Š attr 
uid, يتم كتابة الجمل كما سبق أن ذكرنا بناء على مر ,ما۲0‎ 
سنوضح شكل الكتابة بناء على نوعية ال إن و نوعية ال عإمع و نوعية ال عمرا/,1ةدمهي. هكذا:‎ 

-> User Lable: 

- Non-privileged User: user u 


- Privileged User (root): root 


-> Role-Based Access Control - RBAC 
- Non-privilieged User: system_r 


- Privileged User (root): system_r 


-> Type(Objects(files))/Domain(Subjects(processes/programs/users)) 
- Privileged/Non-privileged Users: unconfined t 


- Processes ex. {httpd: httpd t ; dhcepd: dhcpd t} 


يتم تغير ال 1م ط1 بالأوامر عن طريق الأوامر |lتlئي: (chcon , restorecon, fixfiles)‏ 
أمثلة على أشكال ال اماه 
root:object_r:user_home_t‏ 
system_u:object_r:httpd_exec_t‏ 
user_u:object_r:user_home_dir_t‏ 
user_u:object_r:httpd_sys_content_t‏ 
system_u:object_r:tmp_t‏ 
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قد يخطر ببالك سؤال: من الذي يحدد هذا الشكل في تسمية الجمل(1ءطوا) 
الجواب, تسمية طريقة تسمية الجملة موجودة في ملف في المكان التالي: 
/etc/selinux/targeted/contexts/files/file_contexts‏ 


ما هي السياسة/المنهاجية في lلiظlم (SELinux Policy)‏ 
ال رام" : هي مجموعة من القواعدة وم Ru]‏ توجه محرك ال ×uم1٤؟‏ في تطبيقه لمنهاجية عمل لنظام ال ×ںم S٤‏ ككل. 
حيث تقوم ال راه بإخبار الكيرنيل بأي من المكونات تنتمي إلى tءمزطاں؟‏ أو ال زط0 . 


ملاحظة: السياسة -بشكل عام- تطبق على جميع المستخدمين و حتى المستخدم الجذر "ا00]". 

مثال: 

عند إنشاء ملف أو مجلد في مجلد المستخدم فإن ال رع ام۴ تحدد ال 1ءطه] لهذا النوع حيث ستعرفه بأنه 
- مجلد/ملف = عع زط0 - سیكون ال طلم هو له ھر type‏ 


- بناء على المنهاجية المحددة - و الموجودة مسبقا- لهذا ال ءعزا0 ستضع ال ممع المناسب في ال 1عطه1 الخاص بهذ ال اءعزطا0 و سيكيون 
user home t‏ 


- الأن ستأتي ال 1ه ۸R‏ ل 015 و تقوم بعملها وهو تحديد أي من المستخدمين/العمليات/الخدمات تستطيع الوصول لهذا ال ءعزا0 
مثال: 

عند تنصيب خادم الويب عطعومه فإن ال راه" ستحدد ال 1مطه] لهذا النوع حيث ستعرفه بأنه 

- خدمة/عملية/مستخدم = ec‏ زbں؟‏ - سیكون ال ×0 طلم sa‏ له هر domain‏ 


- بناء على المنهاجية المحددة - و الموجودة مسبقا- لهذا ال tءعزاں؟‏ ستضع ال منهصمل المناسب في ال 1عطه] الخاص بهذ ال ctعزub؟S‏ و 
سيكيون †_إ مط و سياخذ الملف الثنائي منجهرهل فرعي من السابق إسمه †_ httpd _ exec‏ 


- تأتي الأن ال 1#إهR‏ د 015 و تقوم بتحديد ال ممر للملفات/المجلدات لل مط[ و التي يستطيع أن يصلها و يتحكم بها و ستكون من نوع 
.httpd sys content t‏ 


- إن اختلف ال ممر الخاص بالمفات/ المجلدات عن † م†٬co-sys httpd‏ أو httpd _ user content t‏ أو أي همر آخر ينتمي للد ر‌ناه" 
المحددة ل مط فإن المستخدم/العملية/الخدمة 4ماط لن تستطيع الوصول لهذا الملف/المجلد 


(Targeted Policy) السياسة الموج‎ 


إن السياسية الموجهة الإفتراضية في هل۸ و منتجاتها و ما بني عليها هي لهاهعإه1. هنا باختصار لن أقوم بإعادة تعريف ال رعنام لأننا 
عرٌفناه وعرفناه في النقظة السابقة. ما ساقوم بتوضيحة هو مفهوم كلمة موجهة(لعاععإه1) 


كلمة موجهة جائت لأن السياسة تطبق على خدمات محددة معروفة مسبقا فكل ال وأعمزطنں؟ و ال وأءمزا0 تعمل مةه عام و هو 
unconfined _t‏ باستتناء ال Subjects‏ و ects‏ زط0 المعرٌفة/المحددة/الموجهة في ال راه" حيث هي فقط المحمية. 
إن کل ما یندر ج تحت ال نوہ( المسمی †_dعہاگممعمں‏ يعتبر غير محمي بنظام M1۸٣‏ ولکن یضل نظام 5۸٥‏ يطبق عليه. 
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أين يوجد ملف ال ال 1اه" في النظام ؟ و كيف أعرف إصدار هذه ال رعذام۲؟ 
- ملف ال رام" هو ملف تنفيذي يوجد في المسارالتالي 

/etc/selinux/targeted/polîicy/ 
إصدارالسياسة يظهر في اسم ملف يسمى رعءه]¡۴ حيث يظهر بهذا الشكل‎ - 


Policy.Policy Version 
متال:‎ 


/etc/selinux/targeted/policy/policy.21 


أو اعرض محتويات الملف 

cat /selinux/policyvers 
. 21 عرفنا أنه الإصدار‎ 
كيف أعرف الخدمات المعرفة لدى ال رام۳۴ لء)ءعإه1 الموجودة على جهازي؟‎ 


بشكل عام جميع الخدمات الافتراضية و/أو المشهورة في النظام تعتبر معرّفة. و يتم تزويد و تحديث ال yءام۴‏ باستمرار لجعلها تضم أكبر قدر من 
الخدمات. 


سأسرد الخدمات المشهورة هنا 

dhcepd t 
httpd t 
initrc_t 
ldconfig t 
mysqld _t 
named t 
ndc _t 
nscd t 
ntpd t 
pegasus_t 
portmap_t 
postgresql t 
snmpd t 
squid t 
syslogd t 
winbind t 
ypbind t 

بالطبع مع یخرج عنھم سیعرف ب †_dعہاگرمcعہں‏ کما ذکرنا 
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السياسات المنطقية (ى 4ء8001 (Poy‏ 


لتسهيل التعديل على ال رعامم الموجودة لديك, تم عمل طريقة سريعة تعمل بشكل منطقي (0 أو 1) افتراضيا تكون "0” يتم تخزين هذه القيم في 
ملفات جاهزة ق المسارالتالي: 


/selinux/booleans/ 
حيث يوجد فيه جميع المفاتيح السريعة للتعديل على ال راهم الحالية دون الحاجة إلى عمل رام" جديدة لك.‎ 


كل ملف من الملفات يحتوي على قيمتي تنائيتين فقط تأتي بهذا الشكل " 0 0 ” القيمة اليسرى لحالة الخدمة في جu‏ م11٤9‏ و القيمة اليمنى وضع ال 
inuxا E‏ لهذه الخدمه (عمiلمعم(‏ في مٹزف selinux/commit pending _bools/‏ 


لتسهيل الأمر عليك, يوجد أمر (۲۶- 001طءءاءء) يقوم بهذه المهمة لك شريطة أن تعرف إسم القيمة التي تريد تغيرها 
مثال: نريد أن نسمح للاباتشي أن يقرأ ملفات من مجاد المستخدم. 
setsebool -P httpd_enable_homedîirs on‏ 
و تستطيع أن تستخدم الأرقام الثنائية (0 و 1) حيث 0=لا و 1نعم ,, (قد تجد سياسات الأصل فيها النفي فانتبه نفي النفي إثبات) 
setsebool -P httpd_enable_homedîirs 1‏ 
تخزن تلك التعديلات في الملف التالي: 
/etc/selinux/targeted/modules/active/booleans. local‏ 
أيضا تستطيع عمل هذا عن طريق الواجهة الرسومية من الأمر 
system-confîig-selîinux‏ 


عرض | Security Context‏ 
بالطبع يجب أن نعرف طريقة عرض ال وإمطهر] الخاصة بال واءمزان؟ و ال و†ءمزطا0 عندنا. إليك بعض الأدوات 


1) الأمر و1 
[root@KING-securîity4arabs ~]# 1s -Z‏ 
WN root root system_u:object_r:user_home_t anaconda-ks. cfg‏ - 
-rw-r--r-- root root root:object_r:user_home_t install. log‏ 
-rw-r--r-- root root root:object_r:user_home_t install.log.syslog‏ 


s0۸ الأمر ل¡ و‎ )2 
[root@KING-securîity4arabs ~]# 1d -Z 
root:system_r:unconfined_t:SystemLow-SystemHî gh 


[root@KING-security4arabs ~]# secon 
user: root 

role: system_r 

type: unconfîined_t 

sensitivity: SyYstemLOow 

clearance: sSystemHigh 

mls-range: SystemLow-SsystemHî gh 
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3) الأمر وم 


:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 
:00 /usr/sbîin/httpd 


0 


رھ ر رھ ت رھ رھ رت 


0 


[root@KING-security4arabs ~]# ps -axZz | grep httpd 
bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ 


Ss 


UN UO UO ON O ON 0O o0 


I I I O N SI IY 


? 


2375 
2376 
2377 
2378 
2379 
230 
2391 
232 
2393 


:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 
:system_r:httpd_t 


warning: 
system_u 
system_u 
system_u 
system_u 
system_u 
system_u 
system_u 
system_u 
system_u 


root:system_r:unconfined_t:systemLow-systemHîigh 6964 pts/0 R+ 0:00 grep httpd 


4) الأمر )ص و الأمر 11ھtیم¡‏ (یجب أن نكتب (lal Security context J|‏ 


5) الأمر dہاf‏ 


mkdir -Z user_u:object_r:user_home_dir_t Securîity4Arabs 


[root@KING-security4arabs ~]# find /home/ -context '*:httpd_*_content_t' 
/home/binary/pub11 c_html 
/home/binary/publ1ic_htm1l/index. html 
/home/ba71i th/pub11 c_html 
/home/ba71ith/publ1ic_htm1/index. html 
/home/KING/pub1 1 c_html 
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/home/KING/pub1l1ic_html/îindex. html 


الأرشفة و ضغط الملفات 
من الطبيعي أن الملفات تورث ال 1ءطاه.] الخاص بمجلدها أو بمكانها و يتغير ال 1م طج1 عند أرشفت الملفات و نقلها من مكان لمكان ذو [ءطه1 
مختلف في جزء مء مر] الملف. قد نحتاج عند أرشفة الملفات أن نقل معها نفس ال وإعطه.] التي على ال و)ءعزطا0 و هذا يحدث كثيرا. 
مثال لطريقة الأرشفة التقليدية. 
[root@KING-securîity4arabs ~]# pwd‏ 


/root 
[root@KING-securîi1ty4arabs ~]# 1s -Z anaconda-ks.cfg 
- W--=---- root root system_u:object_r:user_home_t anaconda-ks. cfg 


[root@KING-secur1ty4arabs ~]# tar -czf anaconda-ks.cfg.tar.gz anaconda-ks.cfg 
[root@KING-securîity4arabs ~]# 1s -Z 


-W=--==---- root root system_u:object_r:user_home_t anaconda-ks. cfg 
-rw-r--r-- root root root:object_r:user_home_t anaconda-ks.cfg. tar.gz 
[root@KING-securîity4arabs ~]# ls -Z anaconda-ks.cfg. tar.gz 

-rw-r--r-- root root root:object_r:user_home_t anaconda-ks.cfg. tar.gz 


[root@KING-securîity4arabs ~]# mv anaconda-ks.cfg.tar.gz /tmp/ ; cd /tmp 
[root@KING-security4arabs tmp]# pwd 


/ tmp 
[root@KING-securîity4arabs tmp]# 1s -Z anaconda-ks.cfg.tar.gz 
-rw-r--r-- root root root:object_r:user_home_t anaconda-ks.cfg. tar.gz 


[root@KING-security4arabs tmp]# tar -xzf anaconda-ks.cfg.tar.gz 
[root@KING-security4arabs tmp]# ls -Z anaconda-ks.cfg 
- ۳ WN--=----- root root root:object_r:tmp_t anaconda-ks. cfg 


أرأيت!! كان ال همر الخاص بملف عfع.ءk-aولرهعءهمه‏ في منزل الجذر هو ٥_٤‏ ٥٥ط‏ میں و بعد ضغطه و نقله إلى مجلد p/‏ م أصبح .|”p_†‏ 
هذه مشكلة عندما تحاول أرشفة ملفات كثيرة باختلاف ال وإمطه] الخاص بها إلى مكان آخر. لكن بفضل الله يوجد طرق أفضل لهذا الغرض ,, تابع 


سأعرض لكم الأدوات و طرية حفظ ال 1٥طه]‏ معها: 
الأدوات: 
1 ۲ و هي موجوده بشكل افتراضي و تدعم ال 1ع طج1 من الإصدار 2 RHE v4 update‏ فما بعدە 
tar --selîinux -cf anaconda-ks.cfg.tar.gz anaconda-ks.cfg‏ 
بعد نقل الملف المضغوط إلى مص سنفك ضغطه 
tar --selinux -xf anaconda-ks.cfg.tar.gz‏ 
الأن لنعرض ال 1ءطه] للملف عع.ءk-ولرهعهمه‏ لعد فك ضغطه في مجلد مدر 
[root@KING-security4arabs tmp]# 1s -Z anaconda-ks.cfg‏ 
-WN=-=------ root root system_u:object_r:user_home_t anaconda-ks. cfg‏ 
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2) إه†ء و هذه الأداة ليست موجودة بشكل افتراضي و يجب تركيبها 
لضغط الملف: 
star -xattr -H=exustar -c -f anaconda-ks.cfg.star anaconda-ks. cfg‏ 


فك الضغط 
star -xattr -H=exustar -x -f anaconda-ks.cfg.star‏ 


3) عرروإ و هي الأن تدعم ال 1ء طج1 بشكل كامل و موجودة بشكل افتراضي 


نعرف مميزات هذا البرنامج الرائع في النقل و النسخ نعم هو يقوم بنفس ما تقوم به الأوامر مء و مء لكنه يدعم استكمال النقل و لا يعيد النقل من البداية 
لهذا كانت الحاجة الماسة له في أشياء كثيرة و ها نحن نحتاج له هنا. 


لأرشفة و نقل و الاحتفاظ بال 1مطه] لملف 
rsync -avHPAXx anaconda-ks-cfg 10.0.0.80:/tmp‏ 
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تطبيق عملي شامل 
سيكون خادم الويب هو بطل تطبيقاتنا العملية لسهولته و لمعرفة الجميع به و باحتياجاته و طريقة عمله. 
ستکون خطواتنا کالتالي: 
سأفترض أن ال ںہ[ SE‏ يعمل في وضع ۷eإsی¡٥إe۲٭م‏ 
إن لم يكن في وضع م ۷اوونص ٣مم‏ اذهب إلى ملف /عا؟مهء/×u«ذامء/ء)ء‏ و عدلها ثم أعد التشغيل 
1. تنصيب الأباتشي على 5.4 ٥108‏ 

1.. عرض شكل ال و[مطاه] الأساسية للأباتشي في ملف وا×عارهء_عاا؟ 

2.. عرض ال 1٥ط[‏ الخاص بخدمة الأباتشي 

3.. عرض ال 1٥ط.[]‏ الخاص بالمجلد الرئيسي للأباتشي. 

4.. تشغيل صفحة 11ط من مجلد الأباتشي الافتراضي. 


2. إعداد الأبتاشي ليعمل على مجلد المستخدمين في مجلد اسمه 1اط public‏ 
1.. إعطاء التصاريح الصحيح لمحتويات المجلد 1ممط_1ء[طاام وعرض صفحة 1اط بناء على اسم المستخدم 


public_html] تاlيوتحملل الصحية‎ Security Context | ءlاطع)‎ .3 


4. إجبار ال جسم S8‏ على السماح للأباتشي بالوصول إلى مجلدات المستخدمين. 
لنبداً 


٤٥,٤08 5.4 تنصيب الأباتشي على‎ .1 
yum -y install httpd ; service httpd start ; chkconfîig httpd on 


1. عرض شكل ال و[مطه] الأساسية للأباتشي في ملف ءا×مرهع_ع]ا؟ 
grep httpd /etc/selinux/targeted/contexts/files/file contexts | less‏ 
ستجد »مامه كثيرة و أهمها 


File and Directory Type/Domain Security Contexts 
Excusable system_u:object r:httpd exec t 
Configuration and System content system_u:object r:httpd sys content t 
Log Files system _u:object r:httpd log t 
Scripts system_u:object r:httpd script exec t 
User Content system_u:object r:httpd user content t 
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2.. عرض ال 1ء ط1 الخاص بخدمة الأباتشي 
[root@KING-security4arabs ~]# ps -axZz | grep httpd‏ 
warning: bad syntax, perhaps a bogus '-'? see /usr/share/doc/procps-3.2.7/FAQ‏ 


root:system_r:httpd_t 19581 ? RS 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19583 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19584 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19585 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19586 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19587 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19588 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19589 ? S 0:00 /usr/sbin/httpd 
root:system_r:httpd_t 19590 ? S 0:00 /usr/sbin/httpd 


root:system_r:unconfined_t:systemLow-systemHîigh 19592 pts/0 R+ 0:00 grep httpd 
httpd_t كمان نرى فإن خدمة الأباتشي(4م1اط) مقيّدة في ہنه ص00 إسمه:‎ 


3.. عرض ال 1ءطه.] الخاص بالمجلد الرئيسي(الافتراضي) للأباتشي. 
[root@KING-securîity4arabs ~]# 1s -IdZ /var/www/html /‏ 
drwxr-xr-x root root system_u:object_r:httpd_sys_content_t /var/www/html/‏ 


إذن هي تأخذ 1ءطاه]1 صحيح من البداية لأن هذا المكان منُعرّف في ال رء زام" الموجودة من البداية 


4.., تشغيل صفحة 11ط من مجاد الأباتشي الافتراضي. 
أنشأنا ملف 1ماط.×م لم1 في المجلد "[دہ٤ط/Ww Ww‏ /:ھں” , سنحاول تصفحها الأن 
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KING, SABRI, SELinuxs-ıMozillaEiref ox‏ ا 


File Edit View History Bookmarks Tools Help 


8 1 + [®] | http:41 0.0.0.86 2 Os ل‎ 


مجتمع الحماية لعربي [©| | 


| 

iT shared 
سا‎ + 
rere 


KING SABRI - Security4arabs.com 


SELinux Working Well with Default apache public folder "varfwwwrhtml™!! 


Danê ۰ FoxyProxy: Default | a 8 EI pd آ‎ | 
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أ 
أ 
ا 


2. إعداد الأبتاشي ليعمل على مجلد المستخدمين في مجلد اسمه 1اط public‏ 
نفتح ملف إعدادات الأباتشي 
vim /etc/httpd/conf/httpd.conf‏ 


” UserDir public _htnl# " jع‎ شڻيمتll و فك‎ ” User ¡r لذءaط1 و نقوم بتهميش السطر "ع‎ 
# UserDîir disable 


UserDîir public_html 


و نعيد تشغيل الأباتشي 
service httpd restart‏ 


2.1. إعطاء التصاريح الصحيح لمحتويات المجلد publci html‏ وعرضص صفحة html‏ بناءِ علئ اسم المستخدم 
الأن سنقوم بإنشاء مجلد(إنشاء تقليدي) باسم اصاط_عناانام في مجلد المستخدم [N6‏ أيضا سنضع ملف 1ط.×ه لم في المجلد الجديد 
mkdir /home/KING/pub11 c_html‏ 


وسنقوم بإعطاء التصريح المناسب )0۸٣(‏ لمجلد ال /)1١N6‏ ٠ط‏ ومحتوياته لأننا نبهنا أن 5۸0 يتم تطبيقه قبل ال ۸٥‏ فإن قام 0۸0 بالمنع 
فلا حاجة لد 1۸0٥‏ بأن ينظر في أمر المجلد أما لو قام 5۸٣‏ بالسماح وقتها ينظر M1۸٧٣‏ في أمر المجلد. 
chmod a+x /home/KING/‏ 


نبهت في بداية التطبيق أنني أفترض أن ال ×ںہ1ا٤S‏ يعمل في وضع siveیإe۲٭م‏ 


الأن لنقم بتصفح الموقع بالمستخدم (مرة أخرى ×امS8[1‏ ليس في وضع enforcement‏ ( 
aذ| /http://10.0.0.86/~KING)‏ ( 
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(KING SABRI SELinuxı-\ Mozilla Firefox‏ ا 
File Edit Wiew History Bookmarks Tools Help‏ 


HB»‏ اڪ tp:10.0.0.86~KINGA‏ 18 + 3 ا ف 


1 سا 
ا um‏ 


KING SABRI - Security4arabs.com 


SELinux Working Well with Home User: public_html folder "home 1 
IKINGI/public_html"!! 


Dane FoxyProxy: Default j f lir 9Q E O: 


سنشغل الأن ال ×امز S۳1‏ في وضع ٤٫ع‏ ء۲ مگمه (دون أي تعديل أخر) و سنرى ماذا سيحدث 
نفذ الأمر 


echo 1 > /selinux/enforce 


حيث هذا الأمر يجعل وضع ×اہ1 S٤‏ هو ارعصءءإمfمء‏ لكن سيرجع إلى حالته الأصلية بعد أو إعادة تشغيل للنظام 


اعمل تحديث للصفحة الأن 
ستكون النتيجة: 
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lB) 103Forbiddenı-ı\MozillaıEiref ox‏ اا 
File Edit View History Bookmarks Tools Help‏ 


v|‏ ا ek + l@ [ntpuro.o.0.se~kKIN E. Ov) Av a‏ € “۷ س 


مجتمع لحماية لعربي |0| 


shared 4 
سا‎ + 4 
l@| 403 Forbidden ap | 


Forbidden 


! You don't have permission to access /~KING on this server. 


Apacher2. 2.3 (CentOS) Server at 10.0.0.836 Port 80 


Done FoxyProxy: Default | af | Bh | ® & EB: 
لماذا ؟؟‎ 
لنتفقد ال وإم طج1 لل واءءزا0 أولا‎ 
[root@KING-security4arabs ~]# 1s -Z /home/KING/ 
drwxr-xr-x root root root:object_r:user_home_t publ1c_html 


إذن ما العمل ؟! 


الحل في الخطوتين التاليتين: 
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3. إعطlÙء‏ |— Security Context‏ الصحية للمحتويات public_html‏ 
4. إجبار ال ×uمز S٤1‏ على السماح للأباتشي بالوصول إلى مجلدات المستخدمين. 


هل لاحظت ال 1طا1 الخاص بمجلد 1دمط_عنااںم إن هذا ال زا0 الأن تحت حماية مر اسمه †_ ٥0ط‏ میں و هو مختلف تماما عن ال 
0main/typeل‏ الخاص بالاباتشي المحددة في ال راه" ,, لهذا السبب قامت ال R01٥‏ بمقارنة مإه_ 0( الاأباتشي مع ال مم الخاص بالمجلد فلم 
يتطابقا فمنعت وصول الأباتشي لهذا ال عع زا0 


الحل هو تغير ال [مطه] الخاص بمجلد ال 1ط_ناطانم و محتوياته بما يناسب الأباتشي (عرفنا ما يناسب الأباتشي في الخطوة 1.1) 
نفذ الأمر التالي(لإعطاء ×مt‏ €0 Security‏ صحيحة): 
chcon -R -t httpd_user_content_t /home/KING/public_html‏ 


ثم نفذ الأمر التالي (لإجبار ال جسم1 S81‏ على السماح للباشتي بالموصول إلى مجلدات المستخدمين): 


setsebool -P httpd_enable_homedirs on 
الأن اعمل تحديث للصفحة مرة أخرى:‎ 
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ا KING SABRL SELinuxı- Mozilla Firefox‏ ا 


File Edit View History Bookmarks Jlools Help 


4% -@0 RO. Srenmuwma BY 4 


مجتمع الحماية لعربي |0| 


|®| KING SABRI SELinux ي‎ 


KING SABRI - Security4arabs.com 


SELinux Working Well with Home User: public_html folder "home 
IKINGI/public_html"!! 


Done Û FoxyPraxy: Default elb [9 GIB’ |.‏ | 
نعم,, إنها تعمل الآن !! 
حتى هنا أكون قد أنهيت الباب الأول. 


ملاحظة: إن لم تفهم المثال جيدا فليست مشكلة لأن هذا المثال سيتم شرح تفاصيله في الأبواب القادمة 
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الباب الثاني: استخدام اآ SELinux‏ 
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SELinux |آ‎ عlضوأ‎ 

هناك شيئن سنتكلم عن أوضاعهما سواء بالتفصيل أو الإيجاز. و هما: 
1. وضع عJa‏ |آ SELinux‏ 
2. وضع عمل Policy J|‏ في SELinux‏ 


في البداية يجب أن نعرض ملف إعدادات ال جسم1 88 لنشرح عليه و مكانه في: 
/etc/selinux/confîig‏ 
و أيضا 
/etc/sysconfig/selinux‏ 
يأتي الملف بهذا الشكل: 
This file controls the state of SELinux on the system.‏ # 
SELINUX= can take one of these three values:‏ # 


# enforcing - SELinux security policy is enforced. 
# permissive - SELinux prints warnings instead of enforcing. 
# disabled - SELinux 1s fully disabled. 


SELINUX=enforcing 

# SELINUXTYPE= type of policy in use. Possible values are: 

# targeted - Only targeted network daemons are protected. 
# strict - Full SELinux protection. 

SELINUXTYPE=targeted 


1. وضع عمJ‏ أ SELinux‏ 
نرى في الملف ثلاثة أوضاع لحالة عمJ‏ |آ SELinux‏ 
enforcing : ll .a‏ 
و هنا يعمل ال جںم1 S٤1‏ بشكل كامل و يقوم بتطبيق ال وع1ه1اه" و السماح و المنع و المراقبة و تسجيل لأحداث بشكل متكامل 
permissive : lla .b‏ 
و هنا يعمل ال جاما S8‏ في وضع المراقبة فقط أي يقوم بتطبيق ال وع1ء1إم۴ و تسجيل الأحداث ولكن دون المنع و السماح فهذا الوضع يستخدم 


disabled :ll .e 
على الإطلاق و يكون مغلق تماما‎ S٤1 1مu> و هنا لا يعمل ال‎ 
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2. وضع عمل ال icyاPo‏ في SELinux‏ 
أيضا لتطبيق ال عوع ]ام٣‏ هناك ثلاثة أوضاع 
targeted : ll .a‏ 
حيث هي الحالة المهمة لدينا في هذا الكتاب و هي التي نشرح عليه. في هذه الحالة يتم توجيه ال رعزاه" إلى الخدمات و أنواع ال اءعزطS‏ و Object‏ 
المعروفة, أما الغير معروفة فهي غير محمية 


- تستطيع تحميل ال Policy‏ الخاصة بها 
yum -y install selînux-polîicy-targeted‏ 


ستجد الملف التنفيذي له في/etc/selinux/targeted/policy/‏ 


اطخ تخمیل:آدو اف تطویر ال ر‌ذاه٣‏ 
لن تما yum -y install selinux-policy-devel‏ 


ستجد الأدوات في lusr/share/selinux/deve1/‏ 


strict : All .b 
هذه الحالة تقيد جميع ما في النظام و تطبق عليه ال راه" و هي معقدة جدا في إدارتها‎ 
تستطيع تحميل ال رام" الخاصة بها‎ - 
yum -y Install selînux-polîicy-strict 


mls - Multi Level Security : ll .¢ 


كما هو واضع من اسمها فهي تستخدم في التطبيقات العسكرية غالبا , و تضيف على ال وإمطاج جزء ال sعن†¡Sensitiv‏ و ال Categories‏ و التي 
أشرنا إليها في الباب الأول 


- تستطيع تحميل ال Policy‏ الخاصة بها 
yum -y install selînux-polîicy-msl‏ 
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التحكم بآ SELinux‏ 
نعني بالتحكم هو كيفية فتح و إغلاق و تحويل وضع تشغيJ‏ | SELinux‏ 

هناك عدة طرق سأذكر 
1. من ملف إعدادات ال >ںما S81‏ (يحتاج إعادة تشغيل) 

/etc/selinux/confîig 
و أيضا‎ 

/etc/sysconfig/selinux 

يو غير الوضع إلى ما تريد (4ء1طھءi‏ , )enforcing „permissive‏ من هذا السطر 

SELINUX=enforcîing 


2. من ملف الإقلاع G۸8‏ (يحتاج إعادة تشغيل) 
تجده في : 
/boot/grub/grub. conf‏ 

- لتشغيل أو إغلاق ال جسم1 S٤1‏ أضف التالي في نفس سطر الكيرنيل 
selinux=1 or 0‏ 
حیث: 0 = تعطیل . و 1= تشغيل 
- لتشغل | SELinux‏ في وڂضg permissive yÎ enforcing‏ 
enforcing=1 of 0‏ 
حيڻ: 0= enforcing=1 s . permissive‏ 
مال : 

kernel /boot/vmlinuz-2.6.18-164.15.1.e15 ro root=LABEL=/ selîinux=1 


3. الأمر ممم مء (لا يحتاج إعادة تشغيل) 
يفيد في التحول من عہاذءآم‌گمء إلى siveونصإمم‏ و العکس (لا يقوم بتعطيیJ )SELinux‏ 
مثال: 
setenforce 1‏ 
4. من ملف /ع٥إ٥٤ہء/uxہiاعء‏ (لا یحتاج إعادة تشغیل) 
echo "1" > /selinux/enforce‏ 
5. من الواجهة الرسومية 
system-config-selîinux‏ 
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سياق llمlفlت (File Context)‏ 
1) الأمر م 
عند نقل فإن جميع ما يتعلق بالملف/المجلد ينتقل معه لهذا لن يسبب لنا أي مشكلة 


2) الأمر م 
يختلف الأمر مء عن ص لأن الأخر يقوم بنقل الملف فعليا أما مء فإنه يقوم بإنشاء ملف جديد في المكان الجديد و من تم ينقل محتوياته و بما أننا أنشانا 
ملف جديد إذن سيأخذ و[عطه]1 جديه بناء على مكان 


لتفادي هذا نستخدم 
cp -a‏ 
أو نحدد 1٥طه]‏ بأنفسنا كالتالي,, 
[root@KING-securi1ty4arabs ~]# cp -Z system_u:object_r:file_t /etc/hosts hosts‏ 


إعادة سياق llئمlفlٽ (Relabel Files)‏ 
قلنا أننا سنحتاج إلى تغير ال وام طج1 بما يناسب احتياجاتنا -كما احتجناها مع الأباتشي-(و بما يتوافق مع الحماية في نفس الوقت). لهذا كان لزامان 
عليا ذكر هذه النقطة السريعة. 
هناك طریقتین تستطیع بهم عمل عہ:امطهام] للملفات: 
1( الأمر chcon‏ 
لتغیر 1ج٣‏ ہل/ء مرا ملف 
chcon -t typ_name_t fi leNme‏ 
لتغیر منج صهل/ءمر) مجلد و محتویاته 
chcon -R -t typ_name_t fi leNme‏ 
تستطیع أن تغیر ال 1d‏ میں بتغیر "-ح” إلى "-ں” 
تستطيع أن تغير ال م[ه] بتغير ال "-ع” إلى ”٣-"‏ 
لو كان عندك ملفين أحدهما ال 1.61 صحيح و الأخر غير صحيح تستطيع أن تجعل الأول مرجع للثاني دون الاضطرار إلى كتابه ال 1مطه1 
chcon --reference ConrrectFi1le NotcorrectFi le‏ 


restorecon !لمر‎ (2 


هذا الأمر يفيد فقط إذا كانت هناك ملفات/مجلدات ذات 1مطه] مختلف و تريد أن تجعل ال 1هطه] خاصتهم ترج إلى الوضع الافتراضي للماكن الذي 
يشغلونه.. مثلا نحن عدلنا سابقا وإمطه] في مجلد ال مدرهط للمستخدم 16 و لكن لا نذكر ال 1مطه] الافتراضي و نريد أن نعيد كل شيء كما كان 
فهنا يأتي عمل هذا الأمر 


restorecon -RVv /home/KING/public_htm |‏ 
و هنا فقط سيظهر لك ما هو ال 1ءطه1 الذي يجب أن يكون موجود دون تغير كالأمر السابق 
restorecon -nv‏ 
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(Relabel a filesystem) ٽتlفلlمئا إعادة سياق نظام‎ 


غالبتنا نجعل ال S٤11‏ في وضع إع1طهءi‏ ولكن بعد هذا الكتاب سيقوم من استوعبوا كلامي جيدا بتشغيله على الأقل في وضع ع1۷وء¡».۲ءم. 
لكن سنحتاج في البداية أن يقوم ال م5۴1 بالمرور على جميل ملفات/خدمات النظام ليقوم بإعطاءها ال 61طه] المناسب , طبعا بحسب ما يوجد في 
ال „policy‏ 


من هنا نعرف أن تشغیل ×ںہ1 S٤‏ لا يعني أن ال وإمطه.] موجودة بشكل صحيح أو كامل و يجب عمل عمذاءط وام فقط لمرة واحدة. 


هناك طريقتین 
1( لف autorelabe]‏ 
قم بإنشاء ملف مخفي اسمه 1ع طه[ع۲ ]ج في المجلد الجذر 


touch /.autorelabel ; reboot 
عند إعادة التشغيل سترى التالي:‎ 


xe» Harning -- SELinux targeted policy relabel is required. 
x## felabeling could take a very long time, depending on file 


xe# SYSTEM Size and speed of hard drives. 


sbinsetfiles: labeling files under # 
FE FE FE PE FE FE FE FE PE FE FE FE FE FE FE FE FE FE FE FE FE 


سيحتاج إلى وقت حتى ينتهي (بناء على حجم النظام و الملفات) و بعدها سيعيد التشغيل تم ستقلع بشكل طبيعي 


2) الأمر و٥1ا؟×ا۴‏ (لا يحتاج إعادة تشغيل) 

هذا الأمر قد يشبه في عمله ومءطء لكن وهءطء يشترط أن يكون هناك 1ءطه] موجودة أصلا أما هذا في وع ]نا فإنه يضع 1٥طه]‏ مناسب لل 
icyاpo‏ و إن لم يوجد ال .Subject/Object Jl 1abe]‏ 

[root@KING-securîity4arabs public_html ]# fîixfiles relabel 


E /‏ ا کک ا 


E O A E E GS E E A EGE E E RR E xt ##**matchpathcon_fi lespec_eval: 
ا‎ table e 51421 a 35565/65536 ل‎ used, longest chaîin length 3 


/sbin/setfiles: labeling files under /mnt/disk1l 


matchpathcon_f1lespec_eval: hash table stats: 4 elements, 4/65536 buckets used, 
longest chain length 1 


/sbin/setfiles: Done. 


7 


فقط اذكر الله في هذا الوقت 
لا إله إلا الله وحده لا شريك له له الملك و له الحمد و هو على كل شيء قدير 
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SELinux Û go mount Jمع‎ 


نحتاج إلى ×uم1 S٤1‏ أيضا مع الأقراص الصلبة ذات نظام ملفات لا يدعم ال عہناeطھا nu>‏ اك مثل (fs٤م,۴4132)‏ و أيضا مع مساحات التخزين التي لا 
نستطيع الوثوق بها مثل ال رمم‌ه۴1 و ال ص0إ-C5‏ أيضا قد نحتاج لعمل ٤رuمص‏ لقرص من نوع 4×م,3×م,2×ه لكنه لا يحتوي على و[مطه] بسبب أن 
جهازه الأصلي لم يفعل ×uم1 S٤1‏ كما تحتاج أيتضا لعمل ارںهمم للملفات المشاركة من نوع گم و sگطاطء‏ مثلا. 


لنرى بعض الأمثلة على ذلك و ستستوعب الفكرة 


عمل ٤رںuمص‏ لملفات مشارکة ب ئگم 
mount -t nfs -o context=user_u:object_r:user_home_t 10.0.0.99:/shares/homes /home‏ 


CD-rom J mount Jae 
mount -o fscontext=system_u:object_r:removable_t /dev/cdrom /media/cdrom 


بالطبع في المراحل المتقدمة تستطيع أن تعمل مار خاصة و »مه٣‏ خاصة بأي أشياء دخيله تحتاج ربطها بجهازك 
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الباب الثالث: السياسة الموجهة(خاص ب ريدهات) 
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Targeted Policy الخدمات المحمية بأ‎ 
بناء على وجهة نظر ريدهات فقد أعطت اهتمام أكثر لبعض الخدمات في ال رعذاه۴ 4ء†ءعإه] الخاصة بها. وهي مصنفة كالتالي‎ 
httpd , squid : aay ,Web Services — 
bind/named, nscd, dhcpd : gag , Name and network Services — 
ypbind, winbindd : „ag , Authentication Services — 
postmaster/postgreSQL, mysql : gags , Database Services — 


syslogd, ntpd, sımpd : gas , Administrative Services — 


ملاحظة: اهتمام ريدهات بالخدمات السابقة لا يعني أنها لا تطور ال هام٣‏ للخدمات الأخرى 


التحكم في حماية الخدمات 
لعرض الخدمات المحمية أو لتعطيل تفعيلها توجه إلى المجلد 
/selinux/boolîians‏ 
ستجدها مكتوبه بالطريقة بهذه الطريقة 
servîiceName_disable_trans‏ 
و تكتوي على عمودين قيمتي العمودين تكون ثنائية إما 0 أو 1 لو كانت القيمة = 0 إذن فالخدمة محمية. مثال 
cat /selinux/booleans/httpd_dîisable_trans‏ 
0 0 
القيمة الأولى(اليسرى) لحالة حماية الخدمة الأن 
القيمة الثانية(اليمنى) هي حلة ال عمزلمهم أي حالة حماية الخدمة بعد إعادة التشغيل 
/selinux/commî t_pendîing_bools‏ 


لإغلاق حماية خدمة معينة. 
echo "1" > /selinux/booleans/named_disable_trans‏ 
أيضا تستطيع الحفاظ على قيمة ال عدiلدeم commit‏ 
echo "1 0" > /selîinux/booleans/named_disable_trans‏ 
ثم أعد تشغيل الخدمة 
service named restart‏ 
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تستطيع أن تسهل الأمر على نفسك و تستخدم الأداة [00طاعوهء كما فعلنا في الفصل الأول 
setsebool named_disable_trans 1‏ 
أو 
setsebool named_disable_trans on‏ 
هذا التغير سيعود كما كان بعد أول إعادة تشغيل(لأن حالة ال عمزلمءم لم تتغير) و لجعل التغير دائم استخدم المفتاح P-‏ مع الأمر كالتالي 
setsebool -P named_disable_trans on‏ 


هناك أمر بديل يقوم بقلب/تبديل القيم الموجودة في ال رام" بغض النظر ما هي القيمة و هو الأمر 001طعءاعععه) 
toggelsebool named_disable_trans‏ 
أيضا تستطيع استخدام الواجهة الرسومية من 
system-confîig-selinux‏ 


لعرض حالة الخدمة فقط 
[root@KING-security4arabs ~]# getsebool named_dîisable_trans‏ 
named_dîisable_trans --> off‏ 


طبعا تكتبها كما هي مكتوبة في كصه01هط/×uه1امء‏ و تستطيع عرض حالة أكثر من خدمة في نفس السطر مع فصلهم بمسافة عادية 


خدمة الأباتشي - eطإcءaمA‏ 

واحدة من أهم و أخطر الخدمات على النظام لأنها أكثر الخدمات تعرضا للعالم الخارجي بل هي صنعت لتكون للعالم الخارجي و غالبا ما تكون هي 
مدخل الاختراق الشبكات الداخلية. 
و بناء على خطورتها و أهميتها فقد تم الاھتمام بکل اجزاءھا و کل ما یتعلق بھا ووضع C0۸te×‏ yإںںcم؟‏ لھا كما عرضنا ذلك في التطبيق العملي في 
الياب الارل و هنا ساضع الجدول لکن بإيضاح لتعرف آماکن الملفات ڪ Security Context‏ لھا بالطبق سنستخدم امر ls -Z‏ في ذلك. 


File and Directory Type/Domain Security Contexts 
/usr/sbin/httpd system_u:object r:httpd exec t 
/etc/httpd/conf/* system_u:object r:httpd config t 
/var/log/httpd/* system _u:object r:httpd log t 
/var/www/cgi-bin/* system_u:object r:httpd script exec t 
/etc/init.d/httpd system_u:object r:initrc exec t 
/var/www/html/* system_u:object r:httpd sys content t 


تذکير: راجع ملف 
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/etc/selinux/targeted/contexts/files/fi1le_contexts 


محتويات الأباتشى 


قد عرفنا في امال العملي في نهاية الباب الأول أن مجلد var/www / t1‏ لە {xعcont‏ خاصة و مختلفة و جربنا أن نشغل الموقع من مجلد 
المستخدم دون تعديل ال [عطه] و لكن العملية فشلت و نجحت فقط عندما قمنا بتعديل 1[عطه] مجلد ال رط _ public‏ الخاص بالمستخدم 


بهذه الطريقة: 
chcon -R -t httpd_user_content_t /home/KING/publ1ic_html‏ 


أيضا هناك طريقة أسهل و هي أن نجعل المجلد الأساسي للأباتشي هو المرجع للمجلد الجديد(بالنسب4 ن (Security Context‏ 
chcon -R --reference=/var/www/html /home/KING/pub1l i c_html‏ 


أو أننا نعطي ال )×عرمع الصحيحة منذ إنشاء مجلد ال 1اط public‏ 
mkfîir --context system_u:object_r:httpd_sys_content_t /home/KING/publ1ic_html‏ 


إعدادات منطقية خاصة للأباتشي 


من المعروف أن الأباتشي يصل إلى عدة أماكن و لتلبية طلبات المستخدم في عرض الصفحات. لكن هناك أماكن خطيرة مثل °61 فعن طريقها 
تستطيع تنفيذ أوامر مباشرة إلى السيرفر و عرفنا أن الأساس في ×سم11٤S‏ هو المنع إذن C61‏ ممنوع أيضا بشكل افتراضي لمثل هذه الأشياء. 


توجد قيم منطقية 8001٥11‏ في ×ں S٤1,‏ كما ذكرنا من قبل و هي تحتوي على مفاتیح سريعة للتحكم بال اه۴" 
مكان الملف الذي يكتوي القيم المنطقية(ذكرناه سابقا أيضا) 


/selinux/booleans/ 
سنعرض قيم مهمة لك و يوجد الكثير يجب أن تقرأً عنها لتعرف ما يناسبك لتقوم بتعطيل المنع منهم‎ 


httpd enable cgi 
قلنا أن ال °61 خطير لأنه يسمح بتنفيذ ال ومذإم؟ و الأوامر على السيرفر مباشرة‎ 


httpd ssi exec 
أوامر تستطيع تنفيذها على السيرفر من صفحة ويب.‎ - 06I هي نفس فكرة عمل ال‎ Serve Side cude 


httpd enabled homedirs 
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كما عرفناها سابقا و هي لنسمح للأبتاتشي أن يصل إلى مجلد المستخدم . 


httpd tty _ comm 
تسمح لخادم الويب أن يتواصل مع النظام عن طريق الأوامر مامورهع‎ 
تستطيع أن ترى جميع القيمة المنطقية للأبتاشي بهذا الأمر‎ 
getsebool -a | grep httpd 


خدمة أسماء النطاقاثت 0١S‏ 
كما الحال في خادم الويب, فان خوادمه خدمة النطاقات إع۷إع؟ 5 مهمة جدا في حياتنا و تعاملاتنا الإلكترونية و أصبحت جزء لا یتجزأ منھا كما 


من أحد أشکال عمل ال 5×8 هر ٥×8‏ cنصھمر‏ أو D5×N8‏ و سنفترض سناريو لوضع معین . عندنا خادم 5×8 رئيسي/۲ ی و آخر 
فر عي/ع S1۷‏ حيث الرئيسي يتحكم بالنطاقات/ئ«iه‏ 50 و الفرعي يقوم بنقل ال مم7 و هناك حلقة وصل دائمة بين الرئيسي و الفرعي حيث 
الفرعي يزود الرئيسي بكل ال ومم 70 الجديدة أولا بأول و هي متغيرة لهذا أصبح 5_S‏ . إذن هناك احتمالية دائمة أن هناك من يستطيع تغير 
معلومات ال D5 ×N8S‏ الرئيسي, فماذا لو کان من یغیر معلومات ال إمtوaص‏ أحد غير ال ۷او الحقيقي؟ 


جمل الحماية و الجمل المنطقية ل 5١S‏ 
سأعرض لكم جمل الحماية المتعلقة بخدمة DNS - BIND JI‏ 


File and Directory Type/Domain Security Contexts 
/usr/sbin/named system_u:object r:named exec t 
/etc/named.conf system_u:object r:named config t 
/varlnamed/*.zone system_u:object r:named zone t 
/var/log/named system_u:object r:named log t 
/etc/init.d/named system_u:object r:initrc exec t 


و مثل الأبتاشي فهو يحتوي على قيم منطقية 
named disable trans‏ 
لإغلاق الحماية من على ال لہ1ط 
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named write master zone 


لكي تسمح بتحديث ملفات ال ٥مم‏ في الخادم الرئيسي, حيث السماح بهذا يسمح لنا بعمل NS‏ 05. 


خدمات أخرى 
dhecpd‏ 
mysqld‏ 
nscd‏ 
ntpd‏ 
squid‏ 
syslogd‏ 
winbind‏ 
ypbind‏ 
و هناك خدمات كثيرة تستطيع أن تجدها في: 
RedHat‏ 


http://www.redhat.com/docs/manuals/enterprise/R HEL-4-Manual/selinux-guide/rhlcommon-chapter-0051.html 
http://www.redhat.com/docs/en-US/Red Hat Enterprise Linux/5.2/html/Deployment Guide/sec-selinux-policy- 


targeted-rolesandusers.html 


CentOS 
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جمل الحماية لخدمات أخرى 
سأعرض جميل الحماية لبعض الخدمات محالوة أن تألف أشكالها لزيادة مرونه تعاملك معها لاحقا 


ملف إعدادات الخدمات التالية 


File and Directory Type/Domain Security Contexts 


system_u:object r:dhcpd exec t 
system_u:object r:dhcpd etc t 
system_u:object r:portmap exec t 
system_u:object r:squid exec t 
system_u:object r:squid conf t 
system_u:object r:ntpd exec t 
system_u:object r:snpd exec t 


system_u:object r:snmp_etc_t 


system_u:object r:syslogd exec t 
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/usr/sbin/dhcpd 
/etc/dhcpd 
/sbin/portmap 
/usr/sbin/squid 
/etc/squid/squid.conf 
/usr/sbin/ntpd 
/usr/sbin/snpd 
/etc/snmp/snmp.conf 


/sbin/syslogd 


الباب الرابع: التتبع و حل المشاكل 
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تحديد المشكلة 
علمنا أن الأصل في ال م5811 هو المنع حيث سنواجه(في بداية الأمر) مشاكل متوقعة و غير متوقعة كثيرة, لكني أعتقد إن أي شخص يعتاد 
على وجوده فلن یستطیع الاستغناء عنه. 


ہ لو افترضنا أن النظام لم يقلع بشكل صحیيح و كنت متاکد أن السبب هو ×uمز1٤؟‏ , فادخل إلى ملمص عاعماء أو إلى ملمص مuاعومع‏ و ادخل إلى 
ملف الإقلاع Êfرمء.اuإع‏ وضع القيمة 0=عد1ءإه۴مءم أو u×=0مزامء‏ كما ذكرنا في التحكم في .SELinux‏ 


لو واجهت مشكلة في تسجيل الدخول بأحد المستخدمين, فتأكد من أن ال وإءطه] لمجلدات المستخدمين صحيحة أو قد تكون ليس هناك أي وامطه] و 
×اہ1 5E‏ يرفض هذا. للتذكير يجب أن يكون ال 1ع طه1 لمجلد المستخدم .(user_ home _ dir t)‏ 


ہ لو تعطل مع تطبيق أو برنامج معين و كان يعمل قبل تفعيل ×ںم11٤؟,‏ قم بإعطاءه ال 1ءطه] المناسب لطبيعة عمله. 
سہ لو تعطلت خدمة كانت تعمل قبJ‏ تأعJ SELinux‏ , قم بعمل بإعادة ند تشغيل الخدمة بالطريقة التالية , ( سيطلب منك كلمة مرور الجذر) 


/usr/sbin/run_îinit /etc/init.d/Service_name restart 


حسنا ,, کیف تفکر عند وجود مشکلة بسبب ×ںuہا S٤‏ بشکل عام ؟ 
1. اعرض رسالة الخطاً التي ظهرت في رسالة ال ءج 
- اعرف من الرسالة ماهي الخدمة الموقوفة تجدها في جز ء ×عأ1 $0 


- ما هو توجه هذه الخدمة أو ماذا تريد أن تفعل؟ تجدها في جزء طاهم و ووه[ء] فهذا الجزء يخبر في أي ٤ء٥‏ زط0 تريد أن تعدل هذا ال 
subject‏ و ستجد أيضا جزء 10٥‏ و تعني م ل10 وهو حیث ×ںا S811,‏ يصدر تقاريره بالاعتماد على ال ملم الموجود في ععزرمل. 


تستطیع عرض ال ٥٥ہ‏ للملفات ب ([2177 7 5[[) أو البحث عنھا ¬ «(fina 7 i num XXX =ضF 1 ٤(‏ 


2. يجب تحديد ما هي الخدمة و ما عملها و لماذا تم منعها من S8‏ و ستعرف ذلك أيضا من رسالة ءج في جزء ×عارهع] و عادة يكون 
فيها مشاكل الخدمات أو البرامج أو الملفات التنفيذية و الاسكربتات 


إذا كنت تريد أن تحلل ال رام" التي تعمل بها استخدم الأداة [همه. 
إذا رأيت أي عيوب في ال yعذامم‏ أو كان لك اقتراحات عليھا فالرجlء‏ اJڼبإږںغ (/https://bugzilla.redhat.con) lik lie‏ 
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التعامل مع السجlںڻتٽت SELinux Auditing‏ 
يتم تخزين الأخطاء الصادرة من جام S٤1‏ عن طريقة خدمة موجودة بشك افتراضي و اسمها 4٤زQ‏ سه و تخزن الأخطاء في ملف 
/var/log/audit/audîit. log‏ 
فإن لم توجد الخدمة-لسبب أو لآخر- فإن الأحداث تسجل في 
/var/log/messages‏ 


التعامل مع AV٣‏ 
قبل التعامل معها , يجب أن نعرفها ,, 
فما هي رسائل ۸۷٣‏ ؟ 


هي اختصار لكمة (eط2c٥ )Advanced Vector‏ و هي رسائل لا غنی عنها, في تقوم بإعطاءنا تقرير كامل و مفيد عن الخطأ, من أين و ما سببه و 
أين مكانه والرائع أيضا أنها تساعدك في حل المشكلة وليس فقط توضيع المشكلة حتى أنها تصل أنها تعطيك الأمر كامل لحل المشكلة. 


سأعطيك مثال عن خطاً و سنقوم بتشريح و تفصيل الرسالة. الخطأً سببه محاولة الوصول إلى صفحة امس . 


type=AVC msg=audit(1273808351.267:175): avc: denied { getattr } for pid=10586 
comm="httpd" path="/home/KING/public_html" dev=hda1 1ino=959060 
scontext=root:system_r:httpd_t:sO0 tcontext=root:object_r:user_home_t:sO0 tclass=dir 


رائع!! 
لنشرح الرسالة: 
type=AVC‏ 
هذا الجزء يخبرك أي نوع من أنواع الأخطاء هذا الخطأ لتسهيل البحت و قراءة الأخطاء .و عرفا أنه من رسائل ٥۷ه.‏ 
msg=audit(1273808351.267:175)‏ 
هذا الجزء يحتوي على ثلاثة معلومات: 


الأولى: نوع الرسالة 
msg=audî t‏ 
حيث الرسالة تخرج من ال 1عمإ على مستويات و أيضا هناك مؤشر يوجه الرسائل الخارجة من ال 1إعرإهk‏ 


الثانية: الوقت و التاريخ 
267 .1273808351 
حيث يقوم بتسجيل التاريخ و الوقت بأجزاء من الثانية(sلم0ءعء1اM¡1)‏ و تسمى هذه الصيغة ڊ¬ Epoch tine‏ 
طبعا من الصعب عليك قراءة الوقت بهذا الشكل و لهذا,, إليك طريقة تحويل هذا الوقت إلى شكل مقروء 
يكون الأمر كالتالي 
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date -d @EPOCH_TIME 
في مثالنا‎ 
[root@KING-securî1ty4arabs ~]# date -d @1273808351.267 
Fri May 14 06:39:11 AST 2010 
5: و بالصدفة ,, هذا هو تاريخ ميلادي‎ 
الثالثة: الرقم التسلسلي للخطأً‎ 
175 
و هو لتسهيل الإبلاغ و اكتشاف نوع الخطأ دون الحاجة إلى قراءة جميع الرسالة (تأتي بالخبرة)‎ 


comm="httpd" 
.httpd الذي تم منعه و هنا نری أنه أمر خدمة الأباتشي‎ Subject هذا الجزء يخبرك على الأمر /الخدمة/الملف التنفيذي/المستخدم/‎ 


path="/home/KING/public_htm1l" dev=hdal i no=959060 
ً1ہ0dع الذي تمت حمايته مع مكانه على القرص الصلب و‎ Object هنا وضح مكان ال‎ 


scontext=root:system_r:httpd_t:sO 
الذي تم منعه‎ Subject لل‎ Security Context Î Label] dJ lil و هذا الجزء بين‎ 


tcontext=root:object_r:user_home_t: s0 
و بالمتل فقد وضّح لك هنا ال 1٥ط[ الخاص بال ٤ءء زط0 الذي تمت حمايته‎ 


tclass=dir 
”home/KING/public_htm1/" أخيرا أحبً أن يوضح لك نوع ال زط0 و هنا هو مجلد و ليس ملف و مما سبق عرièا مسار‎ 


حJ Troubleshooting JSlnll‏ 
معرفة المشكلة و سببها يعتبر %70 من حل المشكلة, و لهذا قبل قبل أن نبدأ, يجب عليك تثبيت الحزمة التالية ")100م [طuه٣)مء‏ ”: 


yum -y install setroubleshoot* ; service setroubleshoot start ; chkconfig 
setroubleshoot on 


هناك خدمة اسمها لام0 طءع1اuهعامء‏ و تقوم بمراقبة رسائل ال ءج تم تقوم بإرسال تلك الرسائل إلى السجلات مع وضع حل مقترح أيضا وهو برنامج له واجهة 
رسومية أيضا 


sealert -a /var/log/audit/audit. log 
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Summary : 


SELInux 1s preventing the httpd from using potentially mislabeled files 
(/home/KING/publ1c_html). 


Detailed Description: 


SELInux has denied httpd access to potentially mislabeled file(s) 
(/home/KING/publi1c_html). This means that SELTInux wî1ll not allow httpd to use 
these files. It 1s common for users to edit files in their home directory or tmp 
directories and then move (mv) them to system directories. The problem 1s that 
the files end up with the wrong file context which confined applications are not 
allowed to access. 


Allowing Access: 


If you want httpd to access this files, you need to relabel them 
using 


restorecon -v '/home/KING/public_html'. You might want to relabel the 
entire 


directory using restorecon -R -v '/home/KING/publ1ic_html' . 


Additional Information: 


Source Context root:system_r:httpd_t 

Target Context root:object_r:user_home_t 
Target Objects /home/KING/publ1c_html [ dîr |] 
Source httpd 

Source Path /usr/sbin/httpd 

Port <Unknown> 

Host <Unknown> 

Source RPM Packages httpd-2.2.3-31.e15.centos.4 
Target RPM Packages 

Policy RPM selinux-poliCy-2.4.6-255.e15_4.4 
selîinux Enabled True 

Policy Type targeted 
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MLS Enabled True 


Enforcing Mode Enforcing 

Plugin Name home_.tmp_bad_labels 

Host Name KING-securîity4arabs 

Platform Linux KING-securî1ty4arabs 2.6.18-164.6.1.e15 #1 
SMP Tue Nov 3 16:18:27 EST 2009 1686 1686 

Alert Count 2 

First Seen Fri May 14 06:39:11 2010 

Last Seen Fri May 14 06:39:11 2010 

Local ID cc319b72-4736-413f-bfb6-3ad4f71c55db 

Line Numbers 289, 290, 291, 92 


Raw Audit Messages 


type=AVC msg=audi1t(1273808351.267:175): avc: denied { getattr } for pid=10586 
comm="httpd" path="/home/kING/publ1c_html" dev=hdal 1i1no=959060 
scontext=root:system_r:httpd_t:sO0 tcontext=root:object_r:user_home_t:sO0 tclass=dir 


type=SYSCALL msg=aud1t(1273808351.267:175): arch=40000003 syscall|=195 success=no 
ex1t=-13 a0=8126958 a1l=bfe87dO0c a2=575ff4 a3=8170 items=0 ppid=10584 pid=10586 auid=0 
uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=13 
comm="httpd" exe="/usr/sbin/httpd" subj=root:system_r:httpd_t:sO0 key=(nu1l1) 


لو لاحظت ما كبرت خطه قلیلا .... 
ستجده الحل كاملا!!! 
وقد قمت بتطبيقه أيضا و فعلا حل المشكلة. 
[root@KING-securîity4arabs ~]# restorecon -R -v /home/KING/publ1c_html/‏ 


restorecon reset /home/kING/public_html context root:object_r:user_home_t:sO0- 
>user_u:object_r:httpd_sys_content_t:sO0 


restorecon reset /home/kING/public_html/index.html context 
root:object_r:user_home_t:sO0->user_u:object_r:httpd_sys_content_t:sO0 


تنبيه: ليس شرطا أن يكون الحل معطى لك هو الآمن لك, فلك عقل تفكر به و أنت تعرف احتياجاتك جيدا. 
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الباب الخامس: أدوات سياسات الحماية (برامج إضافية) 
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سأعرض عليكم بعض الأدوات المستخدمة في التعامل مع ×uمز S۴1‏ و وظيفة كل واحد دون إسهاب و أترك لك استكشافها و التعمق فيها. 


system-config-selinux ölدÎ‎ 


وهي أداة بواجهة رسومية مهمتها إدارة و التحكم في | SELinux‏ 


E SELinux Administration نټ ت‎ dé 
File Help 

| چ System Default Enforcing Mode | Permissive‏ . ااا 

Boolean Gurrent Enforcing Mode | Permissive 2 | 


File Labeling 
User Mapping System Default Policy Type: | targeted 2 
SELinux User 


Network Port 


LJ ا‎ Relabel on next reboot. 


Policy Module 
Process Damain 


seaudit öادأل|‎ 


أداة من ضمن مجمو عة أدوات ءاه همو لقراءة سجلات ال جام1 S٤1‏ وترتيب المخرجات حسب الرغبة. تعمل عبر سطر الأوامر و عبر الواجهة الرسومية 


لتنزيل الحزمة 
yum -y install setools*‏ 


استخدامها من سطر الأوامر 
seaudi1t-report /var/log/audit/audit. log‏ 
أو إخراج الأحداث في صفحة ويب 


seaudit-report --html -o selinuxLog.html /var/log/audit/audîit. log 


استخدامها من الواجهة الرسومية 
seaudîit -1 /val/log/logFîilePath. log‏ 
إن كان ملف الأحداث هو الافتراضي فلا داعي لكتابة المسار فقط اكتفي بتشغيله لجعو 
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الأداة apol‏ 
أداة ذات واجهة رسومية تستخدم لتحليل ال راه" و تسمح بالبحث فيها عن ال sئtypes,roles,boo1eans,8S10‏ , إلخ.. 


2 ¥ SELinux PolicyrAnalysiswmweterselinuxytargeted/policy/policy-24 
Ele Edît Query Ioos Help 


Policy Components | Policy Rules | File Contexts | Analysis | F | 


Types | Classes/Perms |] Roles ] Users | Booleans | MLS | Inîlial SIDs | Net Contexts ] FS Contexts | 


Types 1 1 Search Options 
NetworkManager_inîitnc_e? 


NetworkManager log t I# Include attbutes N 


NetworkManager exec İt [¥ Show types [ Show atifbutes [ Search using regular expression OK 
NetworkManager t | 


NetworkManager tmp _t 
NetworkManager _ var b_ 
NetworkManager_var_nun 
labıt_ete_t 

jabrt_exec_t 
labıt_helper_exec_t 
labrt_helper t 


~~ Search Results 


labrt_initrc_exec_t 
labrt_t 
abrt timo t 2 


Aitributes 


laamindomain 1 
lappication_domain_type j 
application _exec_type 
oolean_type 
an_change_object_ident 
pcan_change_process_ Me 
pcan_change_process_rok 
pcan_dump_kemel 
gan bad kemmodule 8 


2 ل“ 


| Classes: TT Perms: 229 Types: 2874 Attibs: 235 AV + TE rules: 369995: Roles: 12 Users: 8 v.24 (binary, mls} 


دا5 checkpolicy‏ 
أداة من سطر الأوامر تقوم بأتكد من صحة كتابة ال رام" و خلوها من الأخطاء المنطقية و الكتابية. 


دا sesearch‏ 
أداة من سطر الأوامر للبحث عن ملف بمعلومات ال وإعطه1 
sesearch -a -t httpd_user_content /etc/selinux/targeted/policy/policy.21‏ 


sestatus öادأل|‎ 


أداة من سطر الأوامر تقوم بعرض حالة عمل ال SELinux‏ ك (ermissiveم, forcing‏ ed,enاdisab)‏ و حالة , إصدار ال رعاه۴ . تستطيع إعداد طريقة 
عرض الأمر و اختيار المعلومات التي ترید عرضها. من ملف etc/sestatus.conf/‏ 


sestatus -V 


دا audit2allow‏ 
یعرض رسائل ٥۷۾‏ من نوع سه][[ه من ملف السجل 
auditZallo -1 /var/log/audit/audîit. log‏ 
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ادا audit2why‏ 
أداة من سطر الأوامر تعرض لك لماذا قامت ءج بإصدار الخطاء في السجل أي سبب الخطاً 
auditZ2why < /var/log/audit/audîit. log‏ 


الأداö sealer‏ 
أمر يتصل بخدمه اسمها d†ممطءمااuهtrمء‏ و تقوم بمراقبة رسائل ال ءج ثم تقوم بإرسال تلك الرسائل إلى السجلات مع وضع حل مقترح أيضا وهو برنامج له 
واجهة رسومية أيضا 
لاستخدامه من سطر الأوامر 
sealert -a /var/log/audit/audîit. log‏ 


avcstat öادألا‎ 


أداة من سطر الأوامر تعرض لك كم مرة قام م981 باتخاذ إجاراء و كم مرة تم أرسال ع رج هذه المعلومات یتم أخذها من ملف selinux/avc/cache_stats/‏ 


الأداö seinfo‏ 
أداة من سطر الأوامر تعرض لك إحصائيات عن كل صغيرة و كبيرة في راهم و عدد ال وممر) و المستخدمين و القيم المنطقية , إلخ,, 


الأداö semanage‏ 
أداة هامة جدا من سطر الأوامر للتحكم بال رعزامم و التعديل في ال ا×ع†رهء على ال وأععزطا0/ءct٥زطاSu‏ على حد سواء 
semanage login -l‏ 
semanage user -[‏ 
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الخاتمه 
في النهاية أسأل الله الكريم رب العرش العظيم أن يتقبل هذا الكتاب قبولا حسنا و أن ينفع به عباده و يزقنا أجره. 
كما أنني آنوه أنه سيكون لهذا الكتاب جزء تثاني متقدم -إن شاء الله- أو قد أضيفه لاحقا على نفس الكتاب فيكون كتابا واحدا. 


تحياتي و احترامي 

صبري صالح 
Security4arabs.com‏ 
KING-SABRI.NET‏ 
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